[Linuxtrent] Re: Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare

From: Roberto Resoli <roberto.resoli@xxxxxxxxx>
To: linuxtrent@xxxxxxxxxxxxx
Date: Sun, 31 Jan 2010 02:14:01 +0100

Il 30/01/10, Gelpi Andrea<liste@xxxxxxxx> ha scritto:
> Roberto Resoli ha scritto:
>
> > Il 30/01/10, gdo@xxxxxxxxx<gdo@xxxxxxxxx> ha scritto:
> > ...
> >
> > >  Non sapevo che la legge permettesse di delegare la conservazione delle
> > > chiavi crittografiche a terzi! Avevo compreso che dovesse essere
> gelosamente
> > > conservato dal titolare, unico soggetto a conoscenza delle password
> > > diaccesso al dispositivo e nemmeno lui in possesso della chiave privata.
> > >
> >
> > già. Ma le ultime regole sulla firma digitale sembrano atte apposta
> > per agevolare l'uso di HSM (hardware  security modules) lato server.
> > Che ovviamente stanno diventando molto popolari  tra  chi offre
> > servizi via web. Nessun sw da installare presso il client, niente
> > applet  o plugin, niente lettori e carte ...
> >
> > Anch'io sono mooolto perplesso. I presupposti base nell'uso dei
> > dispositivo di firma sono:
> >
> > - generazione delle chiavi a borddo e non estraibilità della privata.
> > - possesso e uso esclusivo del dispositivo da parte del titolare.
> >
> > che ne è di queste cose con gli HSM remoti? Grosso mah...
> >
> >
>
>  Roberto, scusa ma non ti seguo.
>
>  Gli HSM che conosco permettono la creazione e conservazione al loro interno
> di un numero ridicolo di chiavi private.
>  Ne avevo cercati alcuni a dicembre 2008 e al massimo arrivavano a 16 chiavi
> con costi di alcune migliaia di Euro.
>
>  Visti i costi non credo sia utilizzabili per le chiavi dei clienti.

Ah! Buono  a sapersi, io non ne ho mai visto uno, ma la cosa allora è
ancora più preoccupante, almeno gli hsm potrebbero essere certificati
per lo stesso livello di sicurezza (EAL4+)  richiesto dalla normativa
europea per gli SSCD (Secure Signature Creation Device).
http://www.interlex.it/testi/pdf/dec030714.pdf
http://www.interlex.it/testi/pdf/cwa14169.pdf

Mi chiedo che grado di validità possano avere firme create senza
nemmeno gli hsm.
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

Follow-Ups:
- [Linuxtrent] Re: Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare
  - From: Roberto Resoli

References:
- [Linuxtrent] Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare
  - From: gdo
- [Linuxtrent] Re: Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare
  - From: Roberto Resoli
- [Linuxtrent] Re: Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare
  - From: Gelpi Andrea

[Linuxtrent] Re: Firma digitale senza la chiave privata protetta da un dispositivo crittografico conservato a cura del titolare

Other related posts: